Infra - Windows Server

Instalando e Configurando um DC no Windows Server 2008

Este artigo relata a instalação e os novos campos para promoção de um domain controller em um ambiente totalmente em Windows Server 2008.

por Rover Marinho


Este artigo aplica-se aos seguintes produtos e tecnologias:

    Windows Server 2008

Introdução

Neste tutorial, apresentaremos as novidades na promoção de um Windows Server 2008 com o papel de Domain Controller, conheceremos todas as novas configurações que podem ser feitas desde o momento da configuração do Domain Controller.


1 – PRÉ REQUISITOS PARA INSTALAÇÃO DE UM DC 2008

2 –  COMO INSTALAR O DC NO AD DS

3 –  VERIFICANDO A INSTALAÇÃO

4 – LINKS RELACIONADOS

1 – PRÉ REQUISITOS PARA INSTALAÇÃO DE UM DC 2008

Para instalarmos um DC no AD DS temos que cumprir alguns pré requisitos necessários no ambiente, abaixo segue cada um dos requisitos necessários para esta tarefa:

1.1 – Hard Disk: Minimode 10GB

No AD DS para uma instalação limpa de um servidor Windows Server 2008 que terá o papel de GC os seguintes requisitos são necessários para o DC.

· 15 MB de espaço requerido para Partição de Instalação do Sistema

· 250 MB de espaço disponível para o NTDS.dit

· 50 MB para o Extensible Storage Engine (Esent) para gerenciar os Transaction Logs

1.2 – Network

Será necessário ter em sua placa de rede as configurações de seu IP privado, segue abaixo demonstração:

1 - Placa de Rede.JPG

Figura1 – Configuração de Placa em Ipv4

1.3 – DNS

No Windows Server 2008 o Dns é necessário como nas versões anteriores o que difere é que no Windows Server 2008 ao promover o primeiro DC o DNS é oferecido a ser instalado e pode-se também fazer de forma manual sua instalação, porém a novidade esta por parte da promoção de um Primeiro DC em um domínio filho, neste momento a delegação para o domínio filho no DNS é criada automáticamente.

1.4 – Credenciais

Para instalar um novo DC em Windows Server 2008 precisamos identificar como estamos fazendo a promoçãodo DC, neste caso temos três cenários:

Credenciais para Promover DC 2008

Cenários Desejados

Permissões Necessárias

Primeiro Dc 2008 em Nova Floresta 2008

Administrador Local da Máquina

Dc 2008 Adicional em Domínio 2000/2003

Domain Admins – Grupo Global

Novo Domínio em árvore 2000/2003

Enterprise Admins – Grupo Global

1.5 – Compatibilidade nos Clientes Legados

Para os clientes legados é de grande valia fazer a análise de todo o processo de clientes disponíveis na rede antes de Promover um Dc Windows Server 2008.

O grande aspecto é que o Dc Windows Server 2008 é o Windows Server mais seguro já existente na família Server, com isto ele utiliza dois níveis de Segurança:

1.5.1  Server Message Block (SMB) Signing and Encryption

1.5.2 Signing of Secure Channel Network Traffic

No Windows Server 2008 policies são utilizadas para impedir que outro tipo de criptográfia seja utilizada para o logon de clientes, para rebaixar o nível de segurança provendo o acesso de clientes legados siga os passos abaixo descritos:

· Acesse o Windows 2008 DC

· Abra o Group Police Management (GPMC)

· Edite a Default Domain Policy

· Localize: Computer Configuration | Policies | Administrative Templates | System | Net Logon

· Habilite  “Allow Cryptography Algorihms Compatible With Windows NT 4.0”

2 – COMO INSTALAR O DC NO AD DS

Para instalarmos um DC no AD DS é muito simples e temos três formas de fazer isto:

· Initial Configuration Taks (Add Roles)

· Dcpromo

· Instalação Unattended

Como já conhecemos a instalação utilizando o Dcpromo, vamos instalar de forma diferente do convencional, vamos chamar a instalação atráves do Add Roles Wizard que esta dentro do Server Manager, vamos lá!

Primeiro abra o menu iniciar em seguida a opção Server Manager, a tela abaixo irá ser aberta:

2 - Roles.jpg

Figura2 – Configuração de Roles no Server Manager

Agora clique na opção ADD ROLES a Figura3 aparecerá, nesta figura clique em Avançar (Next)


3.jpg

Figura3 – Configuração de Roles no Server Manager

Na Figura4 escolhemos a opção de “Active Directory Domain Services” com esta opção marcada ordenamos ao servidor que instale esta ROLE.

4.jpg

Figura4 – Escolhendo o Active Directory Domain Services

A Tela da Figura5 demonstra o que é a ROLE de ADDS, segue abaixo:

6.jpg

Figura5 – Tela de Introdução ao Active Directory Domain Services

Nesta tela podemos efetivar nossa nova ROLE clicando na opçãoINSTALL, segue na Figura6

7.jpg

Figura6 – Tela de Summary para Instalação do AD

A tela da Figura7 demonstra que após a Role ter sido instalada, agora devemos executar o comando DCPROMO, para efetivar este computador com GC e DNS.

8.jpg

Figura7 – Instalação de Role concluída

Clique no Menu Iniciar | Executar e digite: DCPROMO, conforme a Figura8.

9.jpg

Figura8 – Iniciar a Configuração do Domain Controller

Em seguida a tela da Figura9 irá aparecer onde você deverá marcar a opção “Use Advanced Mode Installation”, esta opção traz todas as telas de configurações. Neste tutorial iremos mostrar cada uma das opções neste  recurso será de grande valia.

10-1.jpg

Figura9 – Tela Inicial do Active Directory Domain Services

Na Figura10 o DCPromo demonstra todas as mudanças feitas em compatibilidade pelo Windows Server 2008 – DC, estas modificações serão comentadas no artigo “Criando um Dc adicional em Ambiente 2003”.

11.jpg

Figura10 – Compatibilidade de Sistema Legados

Na tela da Figura11, podemos escolher entre criar um controlador de domínio DC adicional ou um novo Domínio e Nova Floresta, neste tutorial criaremos um Domínio e Floresta 2008, os demais cenários serão reportados nos próximos artigos.

12.jpg

Figura11 – Criando um novo Domínio e uma nova Floresta

Após escolhermos a opção de criação de novo domínio e nova floresta, podemos agora escolher o novo nome FQDN (Fully Qualified Domain Name).

É indicado a utilização de domínios de cunho interno como “.local” “.corp” e demais, não utilize domínios válidos na internet com domínios internos sem ter amplo conhecimento de DNS. Antes de prosseguir sugerimos a leitura do KB: http://support.microsoft.com/kb/300684 .

13.jpg

Figura12 – Escolhendo o Nome FQDN

Após a pesquisa no gerenciador de nomes do domínio o próprio DCPROMO lhe demonstra o nome netbios selecionado por ele como o padrão para Netbios. Caso tenha necessidade, pode-se efetuar a troca do nome netbios conforme seu desejo.

13-1.jpg

Figura13 – Resolução de nome Netbios como Opção

Na Figura14 temos os níveis funcionais de Floresta disponíveis para podermos executar em nosso novo domínio, iremos falar um pouco sobre os níveis de Floresta e suas modificações:

Níveis Funcionais de Floresta

Níveis de Floresta

DC Suportados

Windows 2000

Windows 2000, Windows Server 2003 e Windows Server 2008

Windows Server 2003

Windows Server 2003 e Windows Server 2008

Windows Server 2008

Windows Server 2008

Tabela2 – Tabela de níveis funcionais de Floresta

Selecione a opção Windows Server 2008 no menu e clique em avançar.

16.jpg

Figura14 – Opções de Forest Function Level

Quando a opção Windows Server 2008 é marcada dentro do Forest Function Level, não temos a opção de Domain Level que também relata três funções Windows 2000, Windows Server 2003 e Windows Server 2008. Com isto o DCPROMO nos traz as opções da Figura15.

Podemos ou não instalar oDNS Server neste servidor, esta opção já era existente e continua no menu do DCPROMO, como novas opções temos o Global Catalog (Apagado pois por ser o primeiro DC da floresta este DC já herda o GC e as FSMO`s). A opção de Read-Only Domain Controller RODC, falaremos num próximo artigo.

17.jpg

Figura15 – Opções adicionais no DC

A Figura16 nos mostra uma mensagem de Alerta após clicarmos em Next na imagem da Figura15, isto significa que ao colocar um IP Fixo no DC a configuração ou de Ipv4 ou de Ipv6 esta ativa e configurada para funcionar dinamicamente. (DHCP), caso vc não utilize neste servidor mais de um protocolo de comunicação desative o protocolo não utilizado.

18.jpg

Figura16 – Configuração Ipv6 Habilitada por Default

Caso estejamos trabalhando com domínios filhos a integração DNS é automática desde que falemos de um domínio filho, em nosso caso somos o domíno pai, basta continuar para recebermos a tela da Figura18.

19.jpg

Figura17 – Integração de Delegação DNS

A tela da Figura18 demonstra os diretórios para os arquivos de LOG, Database (Ntds.dit) e Pasta Sysvol. Confirme o caminho dos dados e clique em Next.

20.jpg

Figura18 – Diretório Default para Log, Database e Sysvol

Na tela da Figura19 temos a antiga tela de configuração de Password para Directory Restore Mode, não tente deixar a senha em branco pois receberá o erro da Figura20, será necessário que vc preencha uma senha complexa para este tipo de manutenção do servidor.

21.jpg

Figura19 – Senha de Disaster Recovery Restore Mode

22.jpg

Figura20 – Obrigatório senha de Restore Mode

Por último temos o Summary, este é o relatório completo de todo o processo de instalação do Dcpromo para este novo Domínio e nova Floresta.

Vale salientar o botão “Export Settings” nesta opção poderemos exportar o conteúdo do Summary para um arquivo texto, possibilitando assim a instalação de um DC em instalação Unattended, Segue imagem na Figura21.

23.jpg

Figura21 – Summary de Instalação do DC

No quadro abaixo colocamos o conteúdo do arquivo exportado na Figura21, para conhecimento, segue abaixo Quadro1.

; DCPROMO unattend file (automatically generated by dcpromo)

; Usage:

;   dcpromo.exe /unattend:Z:\Windows 2008\shequinahDC.txt

;

[DCInstall]

; New forest promotion

ReplicaOrNewDomain=Domain

NewDomain=Forest

NewDomainDNSName=shequinah.local

ForestLevel=3

DomainNetbiosName=SHEQUINAH

DomainLevel=3

InstallDNS=Yes

ConfirmGc=Yes

CreateDNSDelegation=No

DatabasePath="C:\Windows\NTDS"

LogPath="C:\Windows\NTDS"

SYSVOLPath="C:\Windows\SYSVOL"

; Set SafeModeAdminPassword to the correct value prior to using the unattend file

SafeModeAdminPassword=

; Run-time flags (optional)

; RebootOnCompletion=Yes


Quadro1 – Conteúdo do arquivo Unattend

Após este passo basta confirmar a instalação conforme a Figura22 e após os procedimentos confirmar a instalação com o Restart demonstrado na Figura23.

25.jpg

Figura22 – Processo de Instalação Finalizado

26.jpg

Figura23 – Tela de Restart para efetivar as opções de DC

3 – VERIFICANDO A INSTALAÇÃO

Pós instalação verifique se o Active Directory Users and Computers esta abrindo e se os dados de Domain Controller estão corretos com o nome do Dc criado.

                3.1 – Verificar o Active Directory Users and Computers (Registro de DC)

                3.2 – Verificar se o Dns reverso esta habilitado, utilize o Nslookup caso a resposta não seja encontrada crie uma Zona Reversa e crie um Ponteiro para o DC na Zona reversa.

                3.3 – Verifique o Event Viewer

Links Relacionados

Windows Server 2008

O que há de novo:
http://www.microsoft.com/windowsserver2008/en/us/default.aspx

Server Unleashed:
http://www.microsoft.com/windowsserver2008/en/us/serverunleashed/default.html

Conclusão

Este artigo é o primeiro artigo da série de Windows Server 2008, falamos sobre todo o processo de instalação de uma Floresta/Domínio em Windows Server 2008, bem como a criação de seu primeiro Domain Controller.

Algumas dicas neste tutorial quanto a reverso de DNS e também como instalar e configurar um DC de forma correta foram citadas. Espero que este artigo possa trazer em sua vida profissional um pouco mais de informação...

Rover Marinho

Rover Marinho - Atua no mercado de infra-estrutura desde 1998, especializando-se na área de Active Directory, Exchange e infra-estrutura de produtos Microsoft. Trabalha como Consultor e Instrutor em um grande CPLS em São Paulo, onde atua com os produtos: Exchange, Active Directory, Cluster e Projetos Específicos. Grande ênfase na comunidade TechNet, é colunista de muitos sites de Infraestrutura e colaborador da comunidade ITCentral. Atua ministrando palestras e Eventos de Produtos Microsoft, Rover Marinho é certificado MCP, MCSA, MCSE, MCTS, MCITP, MCT e MVP em Directory Services. Para conhecerem suas últimas publicações acessem o Blog: http://rovermarinho.spaces.live.com.